使用 Mandos 自动解密多个 LUKS 设备
Auto decrypt multiple LUKS Devices with Mandos
我尝试使用 Mandos 自动打开加密的根设备。我想设置一个加密的 btrfs raid 1(sda1 和 sdb1:LUKS)。第一个设备被正确解密,但第二个设备不会被打开。有办法吗?
解决方法比较简单:
不要将磁盘添加到 /etc/crypttab,而是直接将它们添加到 /etc/initramfs-tools/conf.d/cryptroot,并且不要忘记 keyscript 部分 (keyscript=/lib/mandos/plugin-runner)。
/etc/initramfs-tools/conf.d/cryptroot:
target=sda2_crypt,source=UUID=0f47884b-fb02-478e-b4dd-c594cf1cbbf1,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
target=sdb2_crypt,source=UUID=65f16e28-5b74-4b1f-9f81-01729244ac2c,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
为确保将完整的 cryptsetup 堆栈正确编译到 initramfs 中,将虚拟设备添加到 /etc/crypttab。注意添加noauto,否则它会尝试在启动时解锁设备并会失败。
/etc/crypttab:
dummy_device UUID=087963da-63bb-439b-bb5a-15e712d02a29 none noauto,luks,discard
我建议您在根文件系统(我会在 /etc/keys
中建议)有一个包含任何其他磁盘密码的文件,并在 [=11] 的第三个字段中输入该文件名=].
从 Debian Stretch 开始,它就可以正常工作 (tm)。两个设备都应列在 /etc/crypttab 中,并且应设置 btrfs raid1。然后安装mandos。确认在 Debian Stretch 9.5 上工作。
我尝试使用 Mandos 自动打开加密的根设备。我想设置一个加密的 btrfs raid 1(sda1 和 sdb1:LUKS)。第一个设备被正确解密,但第二个设备不会被打开。有办法吗?
解决方法比较简单:
不要将磁盘添加到 /etc/crypttab,而是直接将它们添加到 /etc/initramfs-tools/conf.d/cryptroot,并且不要忘记 keyscript 部分 (keyscript=/lib/mandos/plugin-runner)。
/etc/initramfs-tools/conf.d/cryptroot:
target=sda2_crypt,source=UUID=0f47884b-fb02-478e-b4dd-c594cf1cbbf1,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
target=sdb2_crypt,source=UUID=65f16e28-5b74-4b1f-9f81-01729244ac2c,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
为确保将完整的 cryptsetup 堆栈正确编译到 initramfs 中,将虚拟设备添加到 /etc/crypttab。注意添加noauto,否则它会尝试在启动时解锁设备并会失败。
/etc/crypttab:
dummy_device UUID=087963da-63bb-439b-bb5a-15e712d02a29 none noauto,luks,discard
我建议您在根文件系统(我会在 /etc/keys
中建议)有一个包含任何其他磁盘密码的文件,并在 [=11] 的第三个字段中输入该文件名=].
从 Debian Stretch 开始,它就可以正常工作 (tm)。两个设备都应列在 /etc/crypttab 中,并且应设置 btrfs raid1。然后安装mandos。确认在 Debian Stretch 9.5 上工作。